téléchargement 1 1
mai 22, 2020 Par bourse 0

8 façons dont les cybercriminels ont profité de Covid-19

Les cybercriminels ont profité de la crise des coronavirus pour propager des logiciels malveillants, perturber les opérations, jeter le doute et gagner de l'argent rapidement. Description générale des différentes méthodes et objectifs.

Alors que les entreprises prennent de nombreuses mesures pour que leurs employés puissent travailler en toute sécurité à distance, les acteurs de toutes sortes de la menace n'ont pas perdu de temps à exploiter la crise sanitaire. Les pirates ne peuvent pas laisser passer l'opportunité de gagner de l'argent. Pour profiter de la situation actuelle, les attaquants ont multiplié la diffusion des malwares par email, mais aussi via des applications, sites web et réseaux sociaux qui exploitent le thème Covid-19. À l'échelle mondiale, les cybercriminels utilisent huit vecteurs et techniques de menace pour attaquer les entreprises.

Phishing: le vecteur roi

Le courrier électronique représente et représentera toujours le plus grand vecteur de menace pour les particuliers et les entreprises. Les cybercriminels ont longtemps exploité les événements mondiaux pour mener des campagnes de phishing et augmenter leurs taux de réussite, et le coronavirus ne fait pas exception. Digital Shadows rapporte que sur le dark web, il existe de nombreuses annonces pour les kits de phishing Covid-19, vendus entre 200 $ et 700 $, vous permettant d'envoyer des e-mails avec une carte de la propagation du virus accompagnée d'une pièce jointe malveillante

Ces courriels exploitent divers sujets, ainsi que des rapports d'analystes spécifiques à certains secteurs d'activité tels que les recommandations officielles du gouvernement sur les questions de santé ou la vente de masques de protection ou d'autres informations sur les opérations et la logistique. . Ils peuvent inclure différents types de charges utiles, des ransomwares et enregistreurs de frappe aux chevaux de Troie d'accès à distance et aux voleurs d'informations.

Selon un rapport de VMware Carbon Black, entre février et mars 2020, les attaques de ransomwares ont augmenté de 148%, en particulier celles ciblant les institutions financières. "Notre équipe de recherche sur les menaces a découvert que de nombreuses campagnes de courrier électronique malveillantes exploitent le thème Covid-19, et nombre d'entre elles utilisent la peur pour convaincre les victimes potentielles de cliquer", a déclaré Sherrod DeGrippo, directeur principal, Recherche et détection. des menaces dans Proofpoint. "Les criminels ont envoyé une tonne de courriels par vagues allant d'une douzaine à plus de 200 000 à la fois, et le nombre de campagnes augmente. Au début, nous observions une campagne par jour dans le monde, par rapport à trois ou quatre par jour actuellement. " DeGrippo dit qu'environ 70% des e-mails découverts par l'équipe anti-menace de Proofpoint contiennent des logiciels malveillants, et la plupart sont utilisés pour voler les identifiants des victimes via de fausses pages Gmail ou Office 365.

Proofpoint a déclaré que jamais auparavant le volume cumulé d'e-mails thématiques n'avait réuni une telle diversité d'attaques. Dans un rapport intitulé "100 Days from Coronavirus", Mimecast révèle qu'en moyenne, dans le monde entier, la propagation de logiciels malveillants dans les e-mails pendant la pandémie se produit principalement sous la forme de fichiers RAR et parfois de fichiers ZIP, Mais la propagation des logiciels malveillants via les macros et les fichiers ISO / image, également observée depuis le début de la crise, est plus mineure. En moyenne, au cours de cette période, les secteurs de la fabrication et de la vente au détail / en gros ont été les plus ciblés.

L'agence britannique de cybersécurité NCSC (National Cybersecurity Center) et l'Organisation mondiale de la santé (OMS), entre autres, ont publiquement mis en garde contre les courriels frauduleux qui proviendraient d'organismes officiels. Plusieurs courriels de phishing ont également circulé, prétendant provenir des Centers for Disease Control and Prevention (CDC), la principale agence fédérale de santé publique des États-Unis. Etats-Unis Selon BAE Systems, le groupe de pirates Transparent Tribe (également connu sous le nom d'APT36) a rejoint l'Inde, les groupes Sandworm / OlympicDestroyer et Gamaredon ont rejoint la Russie, et les groupes Operation Lagtime et Mustang Panda APTs ont rejoint la Chine. parmi les acteurs qui envoient des courriels malveillants sur la question de Covid-19. Les données de Securonix montrent que les courriels d'hameçonnage sur les thèmes de la reprise économique et de l'aide à l'emploi du gouvernement ont rapidement dépassé d'autres sujets tels que les appâts pour les cures et les vaccins, également très populaires lors de la première vague d'attaques ils exploitent le Covid-19.

Malware: applications et ransomware

Malgré le fait qu'Apple ait limité la soumission d'applications liées à Covid-19 à son App Store, et bien que Google ait supprimé certaines applications liées à une pandémie de son Play Store, les applications malveillantes constituent toujours une menace pour les utilisateurs. Par exemple, DomainTools a découvert qu'une application Android qui fournit soi-disant des informations de suivi, des statistiques et des cartes thermiques sur le Covid-19 offert par un site n'était rien de plus qu'un ransomware connu aujourd'hui sous le nom de COVIDLock. L'application nécessite une rançon de 100 $ en bitcoins payable dans les 48 heures. Sinon, il menace d'effacer les contacts, les photos et les vidéos, ainsi que toute la mémoire du mobile infecté. Selon les rapports, un onglet de déverrouillage a été découvert.

Toujours selon DomainTools, les domaines associés à COVIDLock étaient auparavant utilisés pour distribuer des logiciels malveillants pornographiques. "L'histoire de cette campagne, qui semble désormais inactive, suggère que pour ceux qui exploitent les logiciels malveillants, le problème de Covid-19 n'est qu'une autre façon d'extraire de l'argent", a déclaré Tarik Saleh, ingénieur en sécurité, dans un article de blog. et chercheur de malware chez DomainTools. Proofpoint a également découvert une campagne demandant aux utilisateurs de donner à SETI @ Home une puissance de calcul pour accélérer les recherches sur Covid-19. En fait, cette puissance de calcul est utilisée pour distribuer des logiciels malveillants qui volent des informations via BitBucket.

Domaines malveillants: une profusion remarquée

Si des sites Web ont été créés rapidement pour diffuser des informations réelles sur la pandémie, nombre d'entre eux sont également des pièges pour les victimes sans méfiance. Future Registered rapporte que des centaines de domaines liés à Covid-19 ont été enregistrés chaque jour au cours des dernières semaines. Selon Checkpoint, les domaines liés à Covid-19 sont 50% plus susceptibles d'être malveillants que les autres domaines enregistrés au cours de la même période. D'autres études menées par des chercheurs de l'unité 42 à Palo Alto ont révélé que sur les 1,2 million de domaines enregistrés entre mars et avril 2020 et contenant des mots clés liés à la pandémie, au moins 86600 domaines étaient considérés comme risqués ou malveillants.

Le NCSC a signalé que de faux sites se présentent comme des sites des Centers for Disease Control and Prevention (CDC) des États-Unis et créent des noms de domaine similaires à l'adresse Web du CDC pour demander des "mots de passe et des dons en bitcoins pour financer un faux vaccin. "Reason Security et Malwarebytes ont signalé qu'un site utilisait une carte thermique Covid-19 pour distribuer des logiciels malveillants. Le site est chargé de logiciels malveillants AZORult qui vole des identifiants, des numéros de cartes de paiement, des cookies et Il transfère d'autres données confidentielles des navigateurs et les transfère vers un serveur de commande et de contrôle. Les logiciels malveillants recherchent également des portefeuilles de crypto-monnaie, peuvent prendre des captures d'écran non autorisées et collecter des informations sur les machines infectées.

Les télétravailleurs: un objectif principal

La crise sanitaire a contraint un grand nombre de salariés, voire parfois des entreprises entières, à travailler à distance, augmentant les risques sur les terminaux et les personnes qui les utilisent. Les appareils utilisés pour le travail à distance pourraient être plus vulnérables si les employés ne mettent pas régulièrement à jour leurs systèmes. Le travail à domicile pendant de longues périodes peut également encourager les utilisateurs à télécharger des applications fantômes sur les appareils ou à ignorer les politiques aussi strictement que dans leur environnement de travail. Il est vrai qu'en raison de la limitation des déplacements professionnels, les employés sont moins exposés aux risques de sécurité en dehors de leurs frontières, notamment s'ils restent effectivement confinés, ils ont moins de possibilités de se connecter à des réseaux WiFi non sécurisés ou de perdre leur dispositifs. Mais ceux qui se rendent dans un café pour travailler, et certains le feront probablement lorsque cela sera possible, pourraient encore se faire voler, perdre leurs ordinateurs ou subir des attaques de "l'homme au milieu".

L'Association internationale des gestionnaires d'actifs des technologies de l'information recommande aux entreprises de signer et de suivre tous les actifs informatiques que leurs employés emportent chez eux, d'établir des politiques et de fournir des conseils sur la façon d'utiliser ces appareils à la maison. (en particulier s'ils sont habitués à partager leur ordinateur avec leur famille), pour rappeler aux utilisateurs les politiques liées à la connexion au WiFi public et pour s'assurer qu'ils continuent à mettre à jour leur logiciel si nécessaire.

Fournisseurs et tiers: station à effet rebond

Chaque partenaire, client et fournisseur de services de votre écosystème est susceptible de faire face aux mêmes problèmes que votre entreprise. Contactez les parties critiques de votre écosystème tiers pour vérifier qu'elles prennent des mesures pour protéger vos télétravailleurs.

Vidéoconférence – concentrez-vous sur la sellette

Les changements dans les méthodes de travail offrent clairement des opportunités d'attaque aux cybercriminels. L'augmentation massive de la collaboration à distance et des outils de travail signifie que votre sécurité est désormais au centre des préoccupations. La popularité généralisée de Zoom a conduit l'entreprise à cesser de développer des fonctionnalités pour ses produits et à se concentrer sur les problèmes de sécurité. Selon Vice, les attaquants sont très intéressés par les exploits zero-day ciblant Zoom et d'autres applications de collaboration.

Il semble que la société de sécurité Cyble ait pu acheter plus de 500 000 comptes Zoom sur le dark web pour moins d'un sou chacun, et parfois même gratuitement. Cela pose un risque certain d'attaques par ingérence dans les informations d'identification, sans parler des éventuelles attaques d'agresseurs lors de réunions. Une politique de contrôle d'accès insuffisante peut conduire à ce phénomène connu sous le nom de "zoombombing", mais aussi à la fuite d'informations confidentielles. Dans un article, le Financial Times analyse le cas des baisses de salaires dans le journal britannique The Independent après une intrusion malveillante dans une réunion.

La tâche pose également d'autres menaces. Selon (ICS) 2, 23% des entreprises notent une augmentation des incidents de cybersécurité depuis la transition vers le travail à distance. Certains d'entre eux mentionnent même un doublement du nombre d'incidents. En plus du risque accru de voir des appareils personnels anciens et non sécurisés accéder à votre réseau, les colocataires, les conjoints ou les enfants peuvent utiliser les appareils de l'entreprise ou afficher ou écouter des informations confidentielles, surtout si le travailleur à distance ne peut pas vous isoler. même. Absolute Software rapporte qu'en plus du fait que les appareils sont attendus depuis longtemps pour les correctifs, la quantité de données sensibles présentes sur les terminaux d'entreprise a augmenté de 46% par rapport aux niveaux moyens d'avant la crise de Covid. 19)

Organisations de santé: haro en première ligne

Malgré les promesses des groupes de pirates, les établissements de santé sont de plus en plus attaqués. Au cours de la première phase de la pandémie, le site Web de la santé publique de l'Illinois a été victime d'un ransomware et le Département de la santé et des services sociaux des États-Unis (HHS) a subi une tentative d'attaque par déni de service. Dans les semaines qui ont suivi, divers établissements de santé et instituts de recherche travaillant sur le développement de vaccins ont été frappés par des criminels cherchant à gagner de l'argent ou par des acteurs parrainés par l'État à la recherche d'avantages à plus long terme. .

Les criminels opportunistes ou ceux qui veulent perturber les opérations sont plus susceptibles de cibler le secteur. Un avis du National Cybersecurity Center du Royaume-Uni (NCSC) et de l'Agence des États-Unis pour la sécurité des infrastructures et de la cybersécurité (CISA) explique comment les groupes APT ciblent les organisations de santé, les sociétés pharmaceutiques, les universités, les instituts de recherche médicale et les autorités locales à collecter des quantités massives d'informations personnelles, de propriété intellectuelle et d'informations alignées sur les priorités nationales.

Les organisations de santé, quels que soient leur type et leur taille, subissent plus de pression que d'habitude. Ce stress pourrait éroder la vigilance du personnel et certains pourraient plus facilement cliquer sur des liens malveillants. Les RSSI de santé ou leurs fournisseurs doivent rappeler à leur personnel d'être attentif aux liens et documents suspects et de s'assurer que leurs opérations résistent aux attaques DDoS. De même, plus une région est touchée par la crise, plus elle est susceptible d'être ciblée par les acteurs de la menace. Les recherches de Bitdefender suggèrent que les cybercriminels ont suivi la propagation de l'infection, ciblant d'abord l'Europe pendant une grande partie du mois de mars, avant de se tourner vers les États-Unis en avril alors que le nombre de nouveaux cas augmentait.

Récupération: un focus sur l'aide à apporter

Mimecast prévoit qu'en raison de l'annulation d'une série d'événements, tels que les Jeux olympiques de 2020, les futures campagnes cybernétiques devraient se concentrer sur diverses aides financières pour diffuser de nouveaux contenus malveillants. De même, après la fin de la fermeture, et même si un danger immédiat a été évité, les futures cyber-campagnes sont très susceptibles de profiter de la mauvaise conjoncture et d'exploiter la question des aides financières. Les cyber-attaquants devraient lancer d'autres campagnes sur le thème des renflouements, des aides gouvernementales à l'industrie ou encore des attaques plus personnelles axées sur les licenciements ou les réductions de salaires des entreprises.